«Мамкины хакеры» на официальной работе: чем занимаются пентестеры



    «Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.

    Есть большие компании, в которых работают уважаемые «дяди». На них трудятся программисты, которые пишут код и иногда совершают ошибки. Причины ошибок банальные: по глупости, из-за лени или из-за незнания технологии, а чаще всего из-за горящих пуканов дедлайнов, не позволяющих нормально продумать логику приложения и покрыть код тестами.

    В программном продукте любая ошибка – это потенциальная уязвимость. Уязвимость – это уже потенциальный риск. А риск – это вроде как плохо, и можно потерять деньги (вообще много всего можно потерять: данные клиентов, интеллектуальную собственность, репутацию, но всё это высчитывается в деньгах).

    И что вы думаете? «Большие дяди» решают не торопить программистов, свозить их на курсы безопасной разработки, дать время на доведение кода до совершенства и делают им массаж ступней? Конечно же, нет. «Большие дяди» решают эти риски «принять» (снизить, передать, застраховать и много других умных слов). В общем, программы крутятся – лавеха мутится. Хакеры немного воровали, и всё шло в стандартном потоке, но так было до поры до времени.

    Со временем объем данных стал значительно расти, наглость хакеров росла еще быстрее. Вред от взлома стал превышать допустимые пределы. Еще и пользователи начали осознавать ценность своих «ну очень важных» персональных данных, а потом подъехали «ребята» из политики, и завертелось (прослушка первых лиц, вывод из строя Иранской АЭС, фальсификации выборов, свобода слова, право на приватность, право на забвение и наконец «кибероружие»!).

    Все сразу поняли, что информационная безопасность – это вам не «хухры-мухры».
    Тут самые уважаемые люди сказали, что злых хакеров-то они, конечно, посадят (до которых дотянутся), но и всем остальным нужно вроде как нести ответственность за свою деятельность и выполнять необходимые меры по информационной безопасности. Выпустили указания, стукнули молотком и разбежались.

    Важный момент для читателя: «бизнес», конечно, может говорить, что ему очень важна ваша приватность, данные никому не передадут и каждый бит информации будет охранять специально обученный человек, но по факту это мало кого волнует. Основные мотиваторы для обеспечения ИБ – это «бабки», или точнее:

    • требования регуляторов (иначе большие штрафы);
    • не дать хакерам украсть много (может довести до банкротства);
    • сохранить репутацию (чтобы доверчивые пользователи дальше несли денежки компании).

    Вообще сначала никто сильно не напрягался, разрабатывали умные бумажки, закупали сертифицированное оборудование, нанимали сертифицированных специалистов (а, точнее, покупали бумажки своим бездарям), и вроде бы на первый взгляд стало всё безопасно. Но как все понимают, одними бумажками в реальной жизни не отделаться.

    Снова «умные дяди» собрались и решили: чтобы защищаться от злоумышленника, нужно думать, как злоумышленник. Не обязательно самим, можно формализовать этот процесс, нанять специально обученных людей «в пиджачках», и пусть себе взламывают, а на выходе будет новая бумажка, но уже «технический отчет»!

    Так вот, «пентестер» по-простому – это тот, кто имитирует работу реального злоумышленника, тем самым тестируя организацию на возможность проникновения (компрометации) и получения доступа к информационным активам (конфиденциальной информации).

    Как тестировать? Откуда? Куда проникать? Какие сведения получить? Какие ограничения? – всё это детали, которые заранее оговариваются.

    Со стороны кажется, что работенка легкая и высокооплачиваемая, плюс еще и рынок не насыщен специалистами, поэтому и формируется тренд, что многие школьники хотят стать «кул-хацкерами», сидя дома на диване и нажимая пару клавиш, взламывать ИТ-гигантов. Но так ли всё просто?

    Жизненный опыт


    Пентестер – это не просто тестировщик, лучше сюда не идти со школьной скамьи, не обладая опытом работы в качестве сотрудника обычной компании или компании вендора.

    Вы должны пройти школу жизни, примеры:

    • объяснить бухгалтеру, что принтер не работает, потому что провод не подключен к компьютеру;
    • объяснить финансовому директору в компании, что писать пароль на стикере у компьютера очень плохо;
    • установить на компьютер с 256Мб оперативной памяти программное обеспечение с минимальными требованиями на 4Gb;
    • настроить корпоративную сетку на домашних роутерах так, чтобы всё летало;
    • ждать согласования получения доступа к простой информационной системе пару месяцев;
    • разработать политику информационной безопасности за пару дней, скачав «рыбу» с интернета;
    • попросить бога, чтобы программа скомпилировалась и, ничего не изменив в коде, получить успех;
    • сделать работу быстрее запланированного в 2 раза, а вместо премии получить еще больше работы;
    • и т.д.

    Иначе весь ваш отчет без понимания реальной практики и индивидуальности заказчика так и останется красивой бумажкой, а рекомендации никогда не выполнятся.

    Найти одну «дырку» в многотысячной компании обычно не составляет труда, но не имея жизненного опыта, будет трудно полноценно анализировать и взламывать другие системы, не понимая:

    • Как это было построено? (качественно, либо под веществами)
    • Почему именно так? (лень, бюджет, условия, кадры)
    • Что мог упустить разработчик/архитектор/сетевик?
    • Почему ни на ком не лежит ответственность за взлом системы? (а такое бывает)
    • Почему никто не хочет устранять вашу суперважную найденную уязвимость? (и такое бывает)
    • Почему критичную уязвимость не могут устранить за пару часов? (может, у людей просто закончился рабочий день и за переработки никто не платит)
    • Насколько легко устранить обнаруженную уязвимость? (может, там поддержка на просроченном аутсорсинге)
    • И т.д.

    Требования к пентестеру


    Требования к такому специалисту, конечно, отличаются от требований к космонавту, здесь физически выносливым быть не обязательно, можно вообще с дивана долго не вставать, но свои нюансы есть.

    Вот примерные должностные обязанности:

    • Проведение тестов на проникновение (pentest):
      • внешнее и внутреннее тестирование на проникновение;
      • анализ защищенности веб-приложений;
      • анализ защищенности беспроводных сетей;
      • тестирование на проникновение с использованием методов социотехнической инженерии;
    • Проведение тестов на проникновение в рамках требований стандарта PCI DSS.
    • Разработка отчетов и рекомендаций по проведенным тестированиям.
    • Собственное развитие и развитие компетенций отдела в области ИБ.

    Примерные требования:

    • Наличие высшего технического образования в области ИБ.
    • Знания по администрированию *nix и Windows-систем, web-серверов.
    • Знание сетевых протоколов (TCP/IP), защитных технологий (802.1x), а также основных уязвимостей сетевых протоколов (arp-spoofing, ntlm-relay).
    • Знание работы веб-протоколов и технологий (http, https, soap, ajax, json, rest...), а также основных веб-уязвимостей (OWASP Top 10).
    • Знание рынка продуктов ИБ (производители, поставщики, конкуренты, тенденции развития, особенности спроса, потребности и ожидания заказчиков).
    • Понимание технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д).
    • Опыт работы с программами nmap, sqlmap, dirb, wireshark, burp suite, Metasploit, Responder, Bloodhound.
    • Опыт работы с ОС Kali Linux.
    • Знание методологий OWASP, PCI-DSS.
    • Опыт разработки на Python, PHP, Ruby, bash, Powershell, Java, C, Assembly.
    • Понимание основ reverse engineering.
    • Знание английского языка не ниже уровня Intermediate.
    • Знание китайского (скоро ждите).

    Плюсом:

    • Опыт реверс-инжиниринга и анализа вредоносного кода.
    • Опыт эксплуатации бинарных уязвимостей.
    • Наличие профессиональных сертификатов CEH, OSCP, OSCE и т.п.
    • Участие в профессиональных соревнованиях (CTF, hackathon, олимпиадах).
    • Участие в программах Bug Bounty.
    • Наличие своих CVE.
    • Выступление на профессиональных конференциях.

    От себя:

    Технический гений-социофоб в данном случае мало кого интересует, обычно здесь требуется коммуникабельный человек, умеющий:

    • объяснить заказчику, что тот на самом деле хочет и как это будет выглядеть;
    • грамотно изложить и защитить свои действия и рекомендации в письменной и устной форме;
    • в случае успеха создать «вау-эффект»;
    • в случае неуспеха создать «вау-эффект» (минусы пентеста – это плюсы ИБ);
    • быть стрессоустойчивым (бывает жарко, особенно при скрытых работах);
    • решать поставленные задачи в срок даже при перекрестных проектах.
    • быть в тренде (о, да, быть в тренде – это «ноша» всех ИТ-специалистов):
      • [Нельзя после работы просто так взять и не думать о работе].
      • Нужно постоянно развиваться.
      • Читать чатики в телеграмме, читать зарубежные блоги, читать новости, отслеживать Twitter, читать Habr, смотреть отчеты.
      • Изучать новые инструменты, отслеживать изменения в репозиториях.
      • Посещать конференции, выступать самому, писать статьи.
      • Обучать новых сотрудников.
      • Сертифицироваться.
    • Не перегореть.

    Философия пентеста


    Не нужно думать, что пентест покажет все проблемы, что полученный результат будет объективной оценкой вашей ИБ в компании (продукта).

    Пентест всего лишь показывает, какого результата команда конкретных специалистов в заданных условиях (время, место, модель злоумышленника, компетенции, разрешенные действия, законодательные ограничения, приоритеты, фаза Луны) может достичь, имитируя работу злоумышленника.

    Помните: пентестеры – это не реальные злоумышленники, которые могут комбинировать кражу, взлом, шантаж, подкуп сотрудников, подделку документов, своё влияние и другие общечеловеческие факторы, здесь всё согласуется по 100 раз, нагрузка контролируется и все в курсе.

    Пентест — это еще и удача. Сегодня ты успел извлечь пароль администратора из оперативной памяти и поднялся до администратора домена на всю корпоративную сеть, а завтра его уже там нет, и в отчет пойдет только непривилегированный (простой) доступ на каком-то древнем, никому не интересном сервере.

    Отличия от близких направлений


    Помимо «пентестеров», есть еще «редтимеры», «багхантеры», «исследователи», «аудиторы», просто специалисты по ИБ – всё это может быть один человек, а могут быть и разные люди, только частично пересекающиеся по компетенциям. Но попробуем немного «разжевать» эти термины:

    «Аудитор»


    Данному специалисту предоставляются все документы, схемы сети, конфигурации устройств, на основе чего делаются выводы и рекомендации для организации в соответствии с лучшими стандартами и опытом аудитора. За счет открытости сведений он дает наибольшее покрытие по всем процессам ИБ и целостный взгляд на всю инфраструктуру.

    Аудитор редко самостоятельно проверяет каждую настройку в организации, обычно сведения ему предоставляем сам заказчик, порой устаревшие или неверные.

    Необходимо объединять усилия аудиторов и пентестеров для проверки как бумажек с бизнес-процессами, так и их реализации на практике.

    «Исследователь»


    Пентестер в чистом виде – это не исследователь, у него просто нет на это время. Под исследователем я подразумеваю специалиста, который может поднять стенд, развернуть определенное программное обеспечение и исследовать только его вдоль и поперек несколько недель, а то и месяцев.

    А теперь представьте, вы нанимаете специалиста для тестирования вашей корпоративной инфраструктуры, а он весь срок сидел и исследовал ПО «для отправки валентинок», установленное на компе одного из сотрудников. Даже в случае успеха вам его результаты работы не сильно интересны.

    «Редтимер»


    Редтим – это совершенно другая философия тестирования. Подходит для компаний со зрелой ИБ, у которых уже проводились аудиты и пентесты, плюс все недостатки были устранены.

    Здесь наиболее приближённо к реальному злоумышленнику, и уже под проверку попадает служба ИБ организации и смежные с ней (SOC ...).

    Отличия от пентеста:

    • О проведении работ знает только несколько человек, остальные будут в реальном времени штатно реагировать на атаки.
    • Работы проводятся скрытно – можно атаковать с облачных хостеров в ночное время.
    • Покрытие тестами делать не нужно – можно идти по пути наименьшего сопротивления и найти пароль на github.com.
    • Более широкий диапазон воздействия – можно применять 0day, закрепляться в системе.
    • Работы проводятся длительный период (несколько месяцев, год), не требуют спешки – как раз здесь и можно позволить себе исследования инфраструктуры заказчика на поднятых у себя стендах для минимизации срабатывания защитных средств.

    «Багхантер»


    Сравнивать багхантера с пентестером некорректно – это как теплое с мягким, одно другому не мешает. Но для разделения могу сказать, что пентестер – это больше должность, работа подразумевает целый ряд формальных задач по договору с заказчиком по заявленной методологии и с формированием рекомендаций.

    Багхантеру достаточно найти дыру у кого-угодно (обычно из списка на площадке) и выслать доказательство наличия ошибки (предварительные условия, шаги).

    Еще раз, никаких предварительных договоров, никаких согласований – просто нашел уязвимость и отправил заказчику через площадку (примером площадки может служить cайт www.hackerone.com). Можно даже посмотреть, как только что Петя это сделал в организации «А», и повторить тут же в организации «B». Конкуренция тут высокая, и «низко висящие фрукты» попадаются всё реже. Лучше рассматривать как вид дополнительного заработка для пентестера.

    Специфика пентеста от компании-интегратора


    Данный раздел может показаться рекламным, но от фактов не уйдешь.

    Каждый пентест по-своему уникален (хотя методика и может быть шаблонной). Уникальным его делает множество факторов, но в основном это люди, команда специалистов, на стиль которых непременно влияет компания, где они работают.

    Так, например, одной компании важен только сам пентест, его результаты, они делают деньги только на этом. Вторая компания хочет создать конкретные недостатки во время пентеста, чтобы продать своё защитное решение. Третья делает акцент больше на нарушенных бизнес-процессах для поднятия целого пласта проблем и предложения мер по их решению.

    Работая в компании-интеграторе, расскажу об особенностях наших пентестов для внешних заказчиков. Специфика заключается в том, что:

    • Мы не заинтересованы провести пентест ради пентеста и растягивать его на несколько месяцев.
    • Работы проводятся в минимально необходимые сроки, и результаты нацелены на выявление реальной картины информационной безопасности заказчика.
    • Необходимо подсветить проблемные бизнес-процессы ИБ за счет тестирования ключевых точек инфраструктуры. Так, если на 20 из 20 компьютеров обнаружена устаревшая операционная система, то какой смысл демонстрировать еще 200? Полное покрытие часто не требуется, да и кто его вообще может гарантировать?
    • По результатам пентеста компания сразу может предложить провести аудит, выстроить бизнес-процессы, предложить защитные меры, внедрить их, сопровождать и мониторить. В России не так много компаний может похвастаться таким набором возможностей. Это удобно, когда весь пакет услуг может предоставить одна компания, имеющая огромный опыт в подобных проектах.

    С точки зрения сотрудника, компания-интегратор — это множество проектов всех видов работ с мелкими и очень крупными заказчиками в масштабах страны. Это наличие командировок как по России, так и заграницу. И конечно, работа бок о бок в команде с аудиторами, инженерами внедрения, сопровождения, вендорами и т.п.

    Трудовые будни


    Представим, что вы уже работаете пентестером. Как будут выглядеть ваши трудовые будни?

    С понедельника по пятницу вы проводите «внешний пентест» Заказчика1 на пару с коллегой. Работы ведутся на основе личного опыта и по международным методикам, с учетом специфики заказчика. Вы запускаете сканеры, составляете карту, сверяетесь с чек-листами, переписываетесь с коллегой об обнаруженных уязвимостях.

    Параллельно другая команда начинает обзванивать сотрудников заказчика, представляясь службой безопасности, рассылать грозные письма с вредоносными вложениями, кто-то даже выезжает раскидать флешки и расклеить плакаты на территории заказчика.

    Это не соревнования, тут не всегда находятся интересные уязвимости, не всегда люди сообщают пароли по телефону и не всегда защитные средства настроены «дыряво», поэтому в отчет может пойти только перечень проведенных работ, но вы не волнуетесь, ведь каждый пентест учит вас чему-то новому и демонстрирует интересные человеческие факторы.

    Пару раз у заказчика после фаззинга входных данных деградирует работоспособность сервисов, и работы приостанавливаются. После корректировок ограничений они продолжаются. Всё в норме. Пишете отчет.

    Дальше вас распределяют на «внутренний пентест» Заказчика2 с командировкой в город N, кому-то из ваших коллег достается тестирование мобильного приложения. По приезду вас провожают в отдельный кабинет, предоставляют рабочее место. Вы спокойно подключаете сетевой кабель в ноутбук и проводите «внутренний пентест», согласно заявленному договору. Возможно, вы захватываете контроллер домена через 3 часа после начала работ через ms17-010 и остальные дни коллекционируете другие векторы. Возможно, вы всю неделю пытаетесь «играть» с «делегированием полномочий Kerberos» на паре полученных учетных записей. К вам непременно подходят сотрудники ИБ и спрашивают, что нашли. Уже через 15 минут вы ожидаете вопрос: «Ну что? Удалось что-то взломать?», хотя nmap даже «не прогрелся». В любом случае вам обычно есть чем удивить безопасников, и даже с учетной записью из принтера вы можете забрать бэкапы Exchange-сервера. Дальше отчеты, рассказы «о великом путешествии» коллегам, удивление заказчика, много рекомендаций и еще больше уточнений, но в итоге компания действительно начинает понимать, что безопасность – это процесс, а не разовые меры, и вам от проделанной работы становится приятно.

    Дальше вас распределяют на red team, вы едете с коллегой в машине, паркуетесь рядом с банком. Запускаете атаку на Wi-Fi с помощью ноутбука и специальной антенны. Вы не ГРУ, у вас нет корочки, можно реально «отхватить по шапке» от непредупрежденных охранников, поэтому антенна скрыта, и у вас есть легенда, что вы ожидаете друзей.

    Но вот wifi-handshake корпоративного Wi-Fi получен, и ваши коллеги в офисе уже сбрутили его и зашли через интернет в почтовый ящик топ-менеджера. Это успех. Дальше сбор информации, отчеты, презентации.

    Далее в будни вы пишете скрипты для оптимизации части вашей работы. Читаете новости и тестируете новые техники на стенде. Параллельно старые заказчики присылают вам вопросы по работам месячной давности.

    Несколько часов в субботу (переработки оплачиваются) запланировано нагрузочное тестирование у заказчика, вы «роняете» сайт через 10 минут после начала, и угадайте, что? Пишете отчет о результатах.

    Скоро будет интересный вам пентест АСУ ТП и поездка на конференцию по ИБ за счет компании. Вы роняете слезу счастья и вставляете кавычку в новую веб-форму.

    В завершение


    Тема пентестов уже не нова, о ней писали много и по-разному (можно почитать тут и тут),
    в вузах появляются соответствующие дисциплины, устраиваются соревнования, проводятся различные конференции, но кадровый «голод» с каждым годом увеличивается. Помимо этого, зрелость информационной безопасности многих компаний растет, появляется всё больше средств защиты информации, от специалистов требуется высокая и разносторонняя компетенция. Каждому специалисту ИТ (не говоря уже о специалистах ИБ) будет полезным хоть раз поучаствовать в реальном пентесте.

    И несмотря на зачатки автоматизации (пример тут), вряд ли что-то заменит живого компетентного человека в ближайший десяток лет.
    Инфосистемы Джет
    484,45
    Системный интегратор
    Поделиться публикацией

    Похожие публикации

    Комментарии 32

      +4
      Интересный стиль статьи. Интересно узнать больше конкретики в «трудовых буднях» и рассказов о проблемах, с которыми часто сталкиваетесь.
        +4
        Спасибо. Конкретику напишем отдельной статьей, как будет время.
        +2

        Какие документы требуют проведение пентеста? PCI DSS…

          +4
          Требования по тестированию на проникновение заложено в ряд нормативных документов по ИБ, в РФ:
          382-П, гост 57580.1-2017, а также из международных: PCI DSS, требования по безопасности платежной системы SWIFT.
          +1
          Один из «безопасников» рассказывал, что все это фигня покуда у людей владеющих доступом к важной информации относительно небольшие ЗП. На практике, практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$
            –1

            И как вы эту инфу отразите в отчёте?

              +2
              Один из «безопасников» рассказывал, что все это фигня покуда у людей владеющих доступом к важной информации относительно небольшие ЗП. На практике, практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$


              Не все так просто, как вам кажется. Реальная история из жизни, с уст директора предприятия, участвовашего в событиях:

              Живит и конкурируют 2 предприятия, являются ведущими (и богатейшими) по некой категории товаров в одном региональном центре.

              Казалось бы, конкуренты будут рады заполучить БД соперника? Там же ценнейшая информация — покупатели, поставщики, цены, задолженности, обороты, прибыль и пр. и пр.

              Админ одного из этих конкурентов тоже так думал. И вот, уволившись, админ решил подработать — обратился к директору предприятия-конкурента с предложением купить чужую БД.

              На встречу приехали:

              1) Админ, желающий слить БД.
              2) Директор предприятия, которому предложили купить чужую БД.
              3) Директор предприятия, чью БД бывший его админ пожелал продать. Да-да-да, ему позвонил его конкурент из п.2) и САМ предупредил.
              4) Служба охраны предприятия из п. 3).

              Затем директор из пункта 2) уехал. Больше он этого админа не видел.
              Собственно этот директор из п.2) мне эту историю и рассказал. История была на границе 1999-2000, так что могла даже и закончиться для админа более чем грустно.

              На мой вопрос «почему» он отказался от покупки БД конкурента и сдал вышеупомянутого админа-продавца конфиденциальной информации — тот директор ответил мне: что есть определенные пределы, которые в конуренции друг с другом никто из них не зайдет. И поступив так, он уверен, что его противник-конкурент тоже сдаст сотрудника-перебежчика, пожелавшего неправедно нажиться.

              P.S.:
              Я и сам с этим сталкивался:

              Работая админом-аутсорсером, таскал на флешке (или еще тогда на CD, пожалуй) разные файлы, в том числе и однажды оказалась там кроме всевозможных тулзов и БД одного предприятия. Наверное, выполнял какие-то работы и сделал бэкап к себе и не обратил внимания на дальнейшую судьбу данных. Был молодой и зеленый.

              И вот выполняю некие работы на компьютере конкурента. Директор там большой любитель компьютерной техники сидит рядом, смотрит, беседует.

              И вот он обращает внимание на эти файл, назанные говорящим именем типа «database_concurrentFirmName_datetime.zip»

              И говорит мне следующее:

              «Ты знаешь какую большую пользу я могу извлечь, купив у тебя эти файлы? Там ведь цены поставщиков, поставщики, узнаю где мой конкурент и почем покупает, какие делает обороты и смогу перебить его предложения. Будь впредь аккуратнее с моими файлами, не дай бог они у моих конкурентов засветяться, а они окажутся не столь щепетильными как я и воспользуются ими».
                0
                практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$


                Мечтать не вредно. И кино смотреть можно. Но нужно отличать кино и реальность.

                В реальности, если это не какая-нибудь новая технология фирмы уровня Самсунга с подробной технической документацией — конкуренты готовы выделить только смешные копейки на подкуп рядового сотрудника, от инфы которого пользы мало.

                Там где речь идет о действительно приличных суммах — речь и идет и об информации, к которой имеет доступ далеко не каждый.

                Все прочие же продаются за копейки. Так что это не вопрос размеров сумм. А вопрос моральных качеств и организации контроля и разграничения доступа к информации.

                  0
                  Типичная «Ошибка выжившего»
                  habr.com/ru/post/423947
                  habr.com/ru/news/t/453560
                  Или это тоже кино, и никакого шпионажа нету, и никто не покупает данные у недобросовестных сотрудников?
                  Я не говорю, что нет тех, кто честно откажется, есть и такие. И наверное не всех можно купить, или цена может быть выше профита. Но в целом «по рынку» это распространенная практика.

                  А вопрос моральных качеств и организации контроля и разграничения доступа к информации.

                  Моральных качеств у «капитализма» нету, а о разграничении доступа я и вел речь, все эти пентесты мало чего стоят, пока у рядовых сотрудников есть полный доступ к критической информации. Недавно исследование было по взломам в банках, порядка 80% социальная инженерия.
                    0
                    Типичная «Ошибка выжившего»
                    habr.com/ru/post/423947
                    habr.com/ru/news/t/453560

                    Хе-ха. Ну и где же там упомянутые вами
                    «практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$»:

                    Вторая ваша ссылка, как показали недавние события, всего лишь способ давления США на Китай. Как только Трамп с Си Цзиньпином договорились — об промышленном «шпионаже» сразу же забыли.

                    Банальные нарушения патентов делаются сплошь и рядом гораздо более другими методами — своим разработчикам за копирование чужого заплатить выгоднее. Пусть даже ту же самую сумму.

                    Первая ссылка — так же мимо.
                    Там суммы фигурируют, что даже ящик пива не всегда хватит купить.

                    Тут дело просто в плохой организации контроля и в излишнем доступе к информации даже в тех случаях, когда сотруднику она по работе и не нужна в полном объеме и виде доступном для скачивания.

                –3
                Стиль изложения у мамкиных пентестеров хуже, чем в ксакепе.
                  +2
                  Основные мотиваторы для обеспечения ИБ – это «бабки», или точнее:
                  требования регуляторов (иначе большие штрафы);

                  Красиво звучит.

                    +4
                    По личным наблюдениям, в инфобезопасность идут специалисты не очень хорошего качества. Не знаю почему, может быть потому что или кодить ничего не надо или требования размытые, а деньги лучше чем у разработчиков. Или мне так просто везёт, за последние десять лет на четвертом месте работы, а как будто братьев близницов набирают.

                    Решения всех проблем — прогнать известными инструментами, поставить побольше агентов на десктопы и сервера (у нас наверное штук пять уже стоит всяких разных, глючных до немогу, и тормозящие систему хуже десяти антивирусов) и как показатель истенного мастерства отдать систему на аудит консалтерам.

                    Ну и конечно святое, пароли по 12 символов длиной, минимум с тремя специальными символами и чтобы менять не реже чем раз в три месяца.

                    Тогда можно спать спокойно, всё под контролем.
                      +4
                      На самом деле зависит от того чем занимается компания. Если это банк и там при проникновении есть шанс лишиться реальных денег, то не жалеют деньги на PCI-DSS и соответствующих квалифицированных людей, которые могут построить защищенный периметр. А например компания торгующая программистами, что с них взять, никакой ценной инфы никаких счетов, доступ к деньгам только у бухгалтерии через SAP, достаточно защитить только его. И в такой компании ИБ отдел набирают соответствующий, чтобы мог написать формальный «ОК» в согласовании каких то инфраструктурных работ, не особо вдаваясь в подробности и вообще не понимая что делается в компании. Если это нужно руководству, внутренние сайты спокойно торчат в интернет, все согласны и поставили «ОК». Но и зарплата у таких «специалистов» соответствующая, бизнес прекрасно понимает за что платит, за формальное наличие, а не фактическую безопасность.

                      P.S Чисто Российские компании где и деньги крутятся и руководство не шарит в айти не берем в рассчет, в таких давно перестал работать и никому не советую.
                        0
                        Одна из тех компаний более важная чем банк, качество инфосеков точно такое-же.
                        0
                        Недавно где-то мелькала статистика вакансий (вроде бы с hh.ru), и там зарплаты специалистов по безопасности были значительно ниже чем у разработчиков. Возможно поэтому качество спецов хромает? Вы уверены что у вас они больше разработчиков зарабатывают?
                          0
                          Это другая страна, на hh.ru их вакансий нету. Я исследований не проводил, но несколько разработчиков которых я знаю, ушли туда за деньгами.
                        0
                        тестирование на проникновение с использованием методов социотехнической инженерии;


                        Давайте остановимся на этот моменте подробнее. Главный сисадмин банка получает на почту доступ к биткойн кошельку с 1000 биткойнами и сообщением, что если он сбросит инфу — то получит еще 1000.
                        Сисадмин сбрасывает вам инфу и уезжает в закат (другую страну).
                        Как вы указываете в отчетах, что основной риск любого предприятия — это неудовлетворенность в оплате сотрудников, имеющих доступ к таким данным?
                          0
                          А за ним в эту же страну выезжает очередной Меркадер с альпинштоком… Вы слишком наивны. Был случай лет 5-7 назад, когда грабанули инкассаторов на 1,7 лярда, через пару дней они все пришли и сами сдались. Да, в теории ты можешь уехать сам, но всех родственников не вывезешь. Поэтому за информацию, где готовы заплатить 2000 битков можно уехать не на Бали, а в Подмосковный лес.
                            0
                            Это типичная ошибка выжившего — вы знаете о тех случаях, когда не удалось. Но ничего не знаете, о тех, когда удалось.
                              0
                              Это типичная ошибка выжившего — вы знаете о тех случаях, когда не удалось. Но ничего не знаете, о тех, когда удалось.


                              То же самое можно сказать и о вас? Да?

                              Просто подумайте своей головой — если за информацию платят, значит, с нее полагается получить пользу еще на большую сумму, чем произведены затраты.

                              2000 BTC (нынешний курс 642 737,73 рублей за 1 BTC), это 1,2 миллиарда рублей затрат.

                              Какая сумма пользы тут? 10 миллиардов? Ведь, с учетом рисков, польза должна быть существенно больше.

                              Когда речь идет о таких суммах — запросто просекаются все въезды-выезды-влеты-вылета на границах…

                              Ваши 2000 BTC — это детсадовские мечты, не более.
                              Таких сумм не предлагают.

                              Ну иначе как с предположением никогда их не платить, а просто убить в качестве второй части суммы.

                                0
                                Ваши 2000 BTC — это детсадовские мечты, не более.
                                Таких сумм не предлагают.


                                Вам не предлагают )
                                Если совсем честно, мне тоже не предлагают. Но если смотреть на доступность баз которые можно купить, то возникают вопросы, неужели все продающие мертвы? )
                                  0
                                  Ваши 2000 BTC — это детсадовские мечты, не более.
                                  Таких сумм не предлагают.


                                  Вам не предлагают )
                                  Если совсем честно, мне тоже не предлагают. Но если смотреть на доступность баз которые можно купить, то возникают вопросы, неужели все продающие мертвы? )


                                  «Логично» рассуждаете:

                                  1) Ибо почему они должны быть мертвы, если информация не коммерчески чувствительная? Ведь совершенно ничего плохого в смысле потери денег не будет владельцу информации в его бизнесе, ежели та или иная упомянутая вами вот тут в соседнем комментарии информация всплывает.

                                  2) Вы приводите примеры, где информация продается за копейки, а делаете далеко идущие выводы о суммах уровня 1,2 миллиарда рублей (2000 BTC по нынешнему курсу), которая вся пойдет одному-единственному сотруднику фирмы, что участвовал в сливе.

                                  Жую:

                                  Информация из разных источников, следовательно, сумма разделена между множеством нехорошо поступающих сотрудников. От чего становится в десятки раз меньше (если не сотни).

                                  Если вы потратили 1,2 миллиарда на покупку информации, то продать её должны существенно дороже. А с учетом нелегальности бизнеса, и как следствие, возникающих рисков — еще дороже. То есть стоимость продажи должна исчисляться хотя бы десятком миллиардов рублей.

                                  В этой цепочке от изначального сотрудника фирмы до конечного покупателя полно посредников (в том числе и непосредственные участники, которые знают, что продают и платежные системы, которым пофиг на что через них проходят платежи и те кто занимаются рекламой этого которым пофиг что они рекламируют) и каждый желает отщипнуть себе долю. В результате до конечного сотрудника-сливальщика доходит еще меньшая сумма.

                                  Ну а по вашим ссылкам видно, что даже суммы при продаже единицы информации в розницу — незначительные. Даже в итоге это ни в какие миллиарды не собирается.

                                  Вывод: суммы, что доходят до сотрудников, сливающих информацию сотрудникам — копейки.
                                    0
                                    Я думаю, в основном, мы говорим о одном и том же, что подкупить сотрудника можно, и что это проблема. А сумма разумеется в каждом случаи будет своя. И разделение доступа к информации может эту сумму поднять на порядки, вплоть до невыгодности подкупа.

                                      0
                                      Я думаю, в основном, мы говорим о одном и том же, что подкупить сотрудника можно, и что это проблема. А сумма разумеется в каждом случаи будет своя. И разделение доступа к информации может эту сумму поднять на порядки, вплоть до невыгодности подкупа.


                                      Подкупить сотрудника можно — и это, напротив, сущие копейки.

                                      Проблема отнюдь не в суммах — а в организации ограничении доступа и организации контроля.

                                      И эта проблема не решается только тогда когда незачем её решать.

                                      Ситуация, когда защищали-охраняли, но все равно украли, потому что получили большие деньги — это ситуация крайне редкая.

                                      Так как при организации всего этого первым делом четко очерчивается круг имеющих доступ, а, значит, и искать-то никого и не надо в случае утечки.

                                      Количество подозреваемых крайне невелико — и, примеру, остается посмотреть кто из-них купит что-то такое, что ему не очень-то по карману. Или резко подорвется из страны.

                                      Там где речь идет о действительно больших суммах — служба безопасности предприятий состоит не из одних только вахтеров на проходной сидящих.
                            0
                            Вот именно поэтому в банках и нет одного «главного сисадмина»: человека могут перекупить конкуренты (лично, с меньшими рисками и без заморочек с биткоинами), он может тяжело заболеть, он может возомнить о себе невесь что и начать шантажировать банк…

                            Вместо этого есть очень неэффективные процессы работы. То, что в другой организации команда разработчиков смогла бы сделать за неделю максимум — в банке может растянуться на пару лет. Причем, это не будет работа «спустя рукава», нет. Это будет реально напряженный труд со звонками, конференциями и кучей разрешений на каждый шаг. Если повезет, то может даже получиться добавить пару строчек кода или перекинуть пару палей в БД при этом.

                            Зато при такой работе остается очень мало возможностей как-то навредить организации, работая в одиночку. Будь ты хоть из команды сисадминов, хоть из команды безопасников, хоть из команды разработчиков кода в «ядре» бизнеса — не будет у тебя никакой информации, ценной для конкурентов. Да, даже «девочка с приёмной» (особенно девочка с приемной — ей терять нечего) может вбить данные нужного клиента и щелкнуть экран фотиком, но это очень быстро вычислят и девочке очень сильно прилетит.
                              0
                              У любого сервера есть рутовый доступ, а у кого-то найдется к нему пароль/ключ. Все остальное — красивые слова, но не более.
                                +1
                                "-Ведущий админ банка, вот тебе 10М долларов, если сольешь нам данные с сервера Х про проект У — получишь ещё столько же!
                                -Эм, спасибо, конечно, ребят, только тут такое дело… Я — админ по серверам А и Б, а сервисом Х заведуют команда в которой админы — А.М. и Д.М.… Только Д.М., кажется, сейчас работает на другой должности — они с В.П. всё-время по очереди чередуются, а А.М. вообще на пенсию готовится — старая уже совсем, трясет всю, беднягу… Давайте я завтра попробую найти кого-то из их команды и спрошу кто там что админит, а то там 10 разных под-команд и у всех разные зоны ответственности! Не будете же вы им всем по 10М дарить, верно?
                                Кстати, я заодно ещё напишу докладную о том, что вы со мной связывались и интересуетесь данными с того сервиса, а то мало ли — у нас регулярно подобные учения проводятся, вдруг вы просто проверить меня решили?"

                                И это я ещё молчу о том, что типичный айтишник может сколько угодно глядеть на секретные документы (хотя непонятно как — особо секретные шифруются под конкретных пользователей и посторонние тут уже ничего не сделают), и даже не поймет, что один длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов чем-то важнее чем другой длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов. Образование не то, и это не те вещи, которые можно понять просто погуглив пару терминов в гугле.
                                  0
                                  У любого сервера есть рутовый доступ, а у кого-то найдется к нему пароль/ключ. Все остальное — красивые слова, но не более.


                                  Человечество давно уже все придумало тут тебе и «разделяй и властвуй» и проверять одного человека другим человеком и противопоставление интересов (не задумывались, а почему кассир отдельно, если есть мало-мальская возможность это сделать в большом магазине? а если нет кассира, то почему «если вам не выдали чек, то покупка за счет продавца»; ведь это не только потому что закон требует, а допополнительная проверка продавца, чтобы не уворовал, что в интересах бизнеса, а не только из от страха штрафов со стороны налоговой)

                                  То, что вы пишете — это мелкая организация (где и секреты копейки стоят).
                                  Ну или как вариант — организация не уделяющая внимание данной проблеме из лени/глупости/нехватки времени/бешенной прибыли, когда на эти копеечные утечки наплевать.

                                  Проблема вполне себе решаемая.
                                  Мегакорпорации, растянутые на всю планету, существовали еще в 17 веке и при тамошних медленных средствах связи.

                                  Было бы желание организовать — а методы уже существуют и обкатаны. Сейчас только проще (автоматизация, быстрая реакция на события).

                                  Весь бизнес построена на 3 китах:

                                  Решать проблему как продать
                                  Решать проблему как сделать то что продать
                                  И — решать проблему как контролировать процессы — о которой мы и говорим.

                                  Бизнес сколько нибудь крупный обязательно озадачен всеми тремя.

                                  P.S.:
                                  Все развитие компьютерной техники, в результате которой она упала в цене и пошла на массовый рынок — именно оттуда.

                                  Контроль — это одна из важнейших целей за ради чего компьютерную технику покупал бизнес в огромных количествах, благодаря чему компьютерная техника теперь доступна вам или мне.

                              +5
                              Распедалил по-взрослому. Респект, Сергей!
                                –3
                                Просто страшно за ваши официальные отчеты :D
                                Но ведь обычно статьи корпоративного бложика приятно читать, никаких кровавых слёз, что случилось? Набираете какой-то особый контингент?
                                0
                                Вы должны пройти школу жизни, примеры:
                                Побыть Кевином Митником, повзламывать системы/людей, посидеть в тюрьме, потом организовать компанию по инфобезопасности.
                                Ну или хотя бы прочитать его книгу.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое